lab501 forum

lab501 forum (http://forum.lab501.ro//index.php)
-   Periferice (http://forum.lab501.ro//forumdisplay.php?f=8)
-   -   Crypto Virus Mikrotik - Atentie la Update-uri (http://forum.lab501.ro//showthread.php?t=19965)

mbc 23-10-2018 12:36

Crypto Virus Mikrotik - Atentie la Update-uri
 
9 Attachment(s)
Toata lumea care ma cunoaste stie ca sunt lenes, asta nu e nici o noutate, dar cand esti atat de lenes incat ai lucru mult din cauza asta, deja nici lenea nu mai este eficienta.

Acum cateva luni ma dadeam relaxat pe lab501 si auzeam ca ventilatoarele incep sa se tureze si nu stiam de ce. Fara sa-mi dau seama am inchis forumul si ventilatoarele s-au calmat. Tot asa de cateva ori pana cand am pornit task managerul sa vad ca Firefox foloseste 98% din procesor. Inchid taburi pe rand, ce sa vezi, cand inchid tabul de lab501 scade utilizarea cpu. Am postat si aici la sectiunea de feedback si nimeni altcineva nu avea probleme. Am testat de pe Chromebook, nimic. In tot acest timp eu am primit erori de navigare din cand in cand, dar m-am gandit ca e de la anumite site-uri.

Fast forward pana alaltaieri cand nu pot sta linistit si incep sa investighez. Primul pas, dezinstalez Kaspersky si las computerul cu Windows Defender. Nici o schimbare. Instalez cryptor miner disabler in Firefox si isi face meseria partial, cateodata il opreste, alta data nu.

Totul s-a schimbat cand am instalat AVG Free si mi-a dat imaginea de mai jos, cum ca as avea un virus Mikrotik-C. Atunci totul a clickuit si mi-am dat seama ce s-a intamplat. Am amanat update-ul de firmware si in acest timp routerul meu a fost compromis.

In pozele atasate se vede cum in recent commands (tasta sus in terminal) se vad comenzile date de virus. La fel, se vede in scheduler ca se rulau comenzi de reactivare a diferitelor parti ale virusului. De asemenea, la DNS-uri, se poate observa ca au fost puse o gramada de IP-uri inaintea DNS-urilor mele - eu am setat doar 8.8.8.8 si 8.8.4.4, restul presupun ca au fost adaugate de virus.

Totodata era un server de proxy activ, iar in acest server era pagina de eroare cu scriptul de minat. O sa pun codul aici dupa ce ajung acasa, nu il am la mine.

Mi s-au infectat 3 computere de acasa. Pe toate le-am putut dezinfecta cu AVG Free. Inainte de AVG Free, am incercat KAV (platit). Pauza. Cu ocazia asta mi-am ales si noul antivirus pentru anul urmator.

Monstru 23-10-2018 13:10

Good info!

Avg folosesc si eu de mai multi ani

DeDeRa 23-10-2018 14:33

Am instalat si eu AVG asa temator si dat un Deep Scan, ca sa fie complet, nu a gasit nimic. Nu folosesc antivirus si nu am folosit niciodata. Ultima instalare septembrie 2016. Bine, multumesc oricum pentru idee, nu e rau sa verifici din cand in cand treaba asta. Frate, au facut astia virusi pana si de rootere.

kretzu77 23-10-2018 14:41

De rootere au fost mai mereu.
Sa vezi ca incepusera si pentru smartTV la un moment dat. =))
@mbc, multumim de info. I'm cleen so far.

mbc 23-10-2018 14:42

Foarte destept cel care a facut virusul, dar nici de Mikrotik nu mi-e rusine cum au lasat toate serviciile pornite chiar si dupa update-ul de firmware.

kretzu77 23-10-2018 15:07

1 Attachment(s)
Pe ce port o fi venit? Eu am in firewall drop la tot pe inbound, mai putin porturile de care am eu nevoie (putine). Restul numai prin VPN

Tu de ce ai lasat toate serviciile active?
L-ai lasat liber, sa te poti conecta si de afara pe el? Fara VPN sau macar fara sa seteze adresele de unde te poti conecta pe el?
Eu, pe langa faptul ca am dezactivat o groaza din servicii (pe care nu le folosesc in mod curent), nici nu ma pot conecta decat de la anumite adrese.
In plus am mai schimbat si porturile (chiar daca schimbarea poate fi frectie, macar mai rezolva atacurile simple, fara port listener)

Daca am nevoie de ceva, intru prin VPN si dau drumul atunci, punctual. Asa au fost mereu si nu se activeaza nimic automat la update. Mereu a ramas ce aveam inainte.

Cam asa arata la mine pe partea de servicii:

https://forum.lab501.ro/attachment.p...1&d=1540292810

Natzi style :D

vibeup 23-10-2018 16:35

+11 ce zice kretzu77. Route-ul ala este prea destept sa lasi totul la vedere.

kretzu77 23-10-2018 16:55

In plus, eu mai am si asta setat atunci cand chiar dau drumul o perioada. la nevoie: https://wiki.mikrotik.com/wiki/Brute...gin_prevention

mbc 23-10-2018 17:21

Taci mai Kretule ca nu fac management de retele de ieri. Vad ca tu ai si WWW activ acolo, eu nu aveam nimic activ inafara de winbox. Exploitul se face prin winbox. Din afara era inchis de tot.

kretzu77 23-10-2018 17:37

Si in winbox cum plm a ajuns? Ca e doar un rahat de executabil de pe pc-ul tau.
Deci PC-ul de pe care ai rulat are securitate de rahat, a luat ce a luat si l-a transmis routeruluiprin acel winbox praf. Sau winboxul ala se gandeste el sa iasa pe net, sa adune exploit-uri pe care sa ti le bage tine in router? C'mon
Am www pentru ca, de multe ori, intru din browser pentru configurari, fara sa mai folosesc winbox.
Oricum, prin www nu pot intra decat pe un anumit port si numai de la adrese interne (aka VPN).
Se pare ca accesarea din www prin VPN vs winbox a fost, asa de rahat cum ti se pare, mai sigura decat winbox-ul tau.

Uite ca asa, prost cum sunt, spre deosebire de maria ta, care nu faci management de retele de ieri, nu am avut astfel de problema. Cum iti explici? Woodoo? :D

mbc 23-10-2018 17:45

Pai si eu de ce zic ca KAV e de rahat? Nu pentru ca nu o facut ce trebuie?

Pai tu nu ai computere virusate la service in fiecare zi :)

Tare as vrea sa stiu cum a intrat exact, dar na... asta este. Eu cred ca a intrat din reteaua locala, prin winbox.

kretzu77 23-10-2018 17:56

Si tu ai winbox-ul ala pus peste tot prin reteaua locala? Why? Daca tot zici ca ai computere virusat ela service in fiecare zi?
Winbox-ul sta pe un stick usb in cel mai rau caz si il folosesti atunci cand ce ai de facut nu poti face din interfata web a lui.

Bennedict 23-10-2018 19:28

Quote:

Originally Posted by mbc (Post 600821)
Toata lumea care ma cunoaste stie ca sunt lenes, asta nu e nici o noutate, dar cand esti atat de lenes incat ai lucru mult din cauza asta, deja nici lenea nu mai este eficienta.

Acum cateva luni ma dadeam relaxat pe lab501 si auzeam ca ventilatoarele incep sa se tureze si nu stiam de ce. Fara sa-mi dau seama am inchis forumul si ventilatoarele s-au calmat. Tot asa de cateva ori pana cand am pornit task managerul sa vad ca Firefox foloseste 98% din procesor. Inchid taburi pe rand, ce sa vezi, cand inchid tabul de lab501 scade utilizarea cpu. Am postat si aici la sectiunea de feedback si nimeni altcineva nu avea probleme. Am testat de pe Chromebook, nimic. In tot acest timp eu am primit erori de navigare din cand in cand, dar m-am gandit ca e de la anumite site-uri.

Fast forward pana alaltaieri cand nu pot sta linistit si incep sa investighez. Primul pas, dezinstalez Kaspersky si las computerul cu Windows Defender. Nici o schimbare. Instalez cryptor miner disabler in Firefox si isi face meseria partial, cateodata il opreste, alta data nu.

Totul s-a schimbat cand am instalat AVG Free si mi-a dat imaginea de mai jos, cum ca as avea un virus Mikrotik-C. Atunci totul a clickuit si mi-am dat seama ce s-a intamplat. Am amanat update-ul de firmware si in acest timp routerul meu a fost compromis.

In pozele atasate se vede cum in recent commands (tasta sus in terminal) se vad comenzile date de virus. La fel, se vede in scheduler ca se rulau comenzi de reactivare a diferitelor parti ale virusului. De asemenea, la DNS-uri, se poate observa ca au fost puse o gramada de IP-uri inaintea DNS-urilor mele - eu am setat doar 8.8.8.8 si 8.8.4.4, restul presupun ca au fost adaugate de virus.

Totodata era un server de proxy activ, iar in acest server era pagina de eroare cu scriptul de minat. O sa pun codul aici dupa ce ajung acasa, nu il am la mine.

Mi s-au infectat 3 computere de acasa. Pe toate le-am putut dezinfecta cu AVG Free. Inainte de AVG Free, am incercat KAV (platit). Pauza. Cu ocazia asta mi-am ales si noul antivirus pentru anul urmator.

Data viitoare s-ar putea sa iti fie util un post de genul

Automatically Upgrade your Mikrotik router firmware & OS

mbc 23-10-2018 20:02

Da, sigur o sa fie. Merci.

agarici cu pedale 24-10-2018 00:01

Tu aveai problema asta de multa vreme ca stiu cand ai postat si nu are nici o treaba cu faptul ca faci retele de ieri sau de acum nspe mi de ani.

Nu mai am antivirus in pc de multa vreme dar nici craked shit nu mai bag si nici nu am lasat nimic in router default, nici macar porturile servicilor. toate servicile sunt pe off mai putin winboxu, firewall-ul e setat agresiv si nici un port fw lasat pe ON niciodata, daca am nevoie de ceva cumva intru pe winbox si ii dau ON, imi fac treaba si apoi off sau dau drumu la VPN si renunt la winbox dar aparent nu am virusul pe el, am ultimul winbox absolut tot timpul (niciodata versiune old) si stateam pe beta release pana acum o luna cand m-am trecut din nou pe stable.

AVG_ul l-am folosit o gramada de vreme si am fost extrem de multumit cu el apoi am renuntat total la el ca am ramas fara liceenta, totodata altul bun si simplu e forticlient, ambele excelente.
Cand va ziceam de AV-uri platite vs free pentru home use sunt de rahat sareati de cur imediat, tin sa precizez ca nu o zic ca un told you chiar daca asa pare ca suna.

LE: si ping-ul e pe off in router, de cand am asta nu mai am nici un atac in el de bruteforce nici pe vpn nici pe direct. reguli la fw de bruteforce cu ban cum a zis kretu + monitorizare in logs si update and shit cand am timp, gen la 2 saptamani sau o luna.
cu ocazia asta ii pun sotiei un AVG sa il aiba acolo ca nu se stie niciodata, danke de info.

mbc 24-10-2018 00:58

O chestie e sigura: toata treaba m-a luat prin surprindere si sunt mai nepregatit decat credeam. Am avut si pingul activ pe wan, l-am dezactivat acum.

agarici cu pedale 24-10-2018 01:09

Am dat si eu winbox-ul jos si pus VPN-ul up.

mbc 24-10-2018 01:24

Din wan nu ma mai pot conecta prin nimic, am lasat doar din lan, de pe clasa mea de ip, pe port schimbat. Am dezactivat si conectarea pe MAC.

ZorracK 24-10-2018 08:17

depinde ce versiune de Kaspersky aveai, daca era Kav simplu nasol, Kis sau Total nu cred ca te lasa asa, eu am Kis de vreo 7 ani si merge brici

madhorsefuzzy 24-10-2018 09:41

Cum iti dai seama ca merge brici? Si mbc credea ca, KAV merge brici pana ... l-a prins. :D


All times are GMT +3. The time now is 04:11.

Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.